FluffyHamster a écrit 252 commentaires

Toucher plus d'un milliard de clients avec un seul déploiement, je considère encore ça comme un avantage (malgré des inconvénients).

Exactement l'objet de la plainte d'Epic donc.

Car Apple et Google interdisent l'usage d'autre plateformes de paiements dans l'app, ou leur simple évocation. Ils interdisent aussi les liens hypertext sur une plateforme de don (https://www.phoronix.com/scan.php?page=news_item&px=WireGuard-Ejected-Play-Store). Mais ça, ça a toujours été clair. Epic savait pertinemment qu'il allait se faire sortir du store par exemple.

Apple est quand même allé jusqu’à interdire (https://www.theverge.com/2020/6/18/21296180/apple-hey-email-app-basecamp-rejection-response-controversy-antitrust-regulation) une application mail reposant sur service payant (paiement uniquement sur le site du service). Précisément ce que font netflix ou spotify pourtant, ou le service est maintenant payable uniquement en ligne. L'application DOIT utiliser le service de paiement d'Apple pour être sur le store.

Tu disposes d'une très bonne visibilité,

C'est très surfait je pense. Noyé dans littéralement des millions d'applications, avec pour seul méthode une recherche texte ? (et si tu ne tape pas le nom de l'application à l'espace près, les petites applications n'existent pas)
La plupart des gens passent par google (ou n'importe quoi d'autre) pour découvrir de nouvelles applications, pas forcément par les fonctionnalités des stores, qui ne profitent qu'à un nombre infime d'applications (et j'aurai même tendance à ajouter, toujours les mêmes)

Tu peux avoir accès au forum et l'aide au développement,

Ha bon…
Les règles des stores sont impossibles à appréhender même pour les gros développeurs, la technique de référence consiste à "tenter le coups" c'est à dire soumettre une application et à faire en fonction de la raison du rejet.
Et quand il y a un problème tu es tout seul, tu n'a pas un gentil conseiller en face, juste (dans le cas de l'app store, pas du play store) un mec payé à faire respecter la règle, qui de plus bannira ton compte et toute tes applications si tu as trop de rejets, ou si tu le gonfle trop… Sans possibilité de faire appel, sans explications, rien.

C'est installé par défaut,
C'est intégré au système et donc facile à répliquer et mettre à jour,
Ton application est hébergée, gérée automatiquement.

Personne ne nie l'aubaine que ces stores sont pour les développeurs, ainsi que pour les utilisateurs.
Les critiques qui commencent à se faire de plus en plus insistantes en ce moment, c'est pourquoi ils ont le droit de vie ou de mort sur ton business, et pourquoi ils prennent 30%, même sur les revenus dérivés comme les abonnements netflix ou spotify par exemple ?

"C'est la porte ouverte à tout" = sophisme de la pente glissante, c'est le meilleur moyen de s'assurer de ne jamais rien faire.

Alors je m'exprime encore plus clairement. La censure, c'est la porte ouverte à tout. On sait très bien ou ça commence, on sait pas ou ça s'arrête.
1984 c'était une blague jusqu'à Edward Snowden. La novlangue c'était une blague jusqu'au politiquement correcte. Si quelqu'un veut faire interdire l'usage de certain mots, qu'il passe par l'académie francaise, pas par une twitter storm.

ça touche encore de vraies personnes, donc mieux vaut éviter master/slave pour ne pas afficher ça a qqun qui vient de réussir à s'en sortir

A la limite, comme je l'avais mentionné dans mon post original, l'enlever ne m'a pas posé plus de problème que ça.
Mais c'est la porte ouverte à tous et surtout à vraiment n'importe quoi. Mon arrière grand père à connu une forme d'esclavagisme, mon grand père est mort à la guerre, ma copine à avortée, je suis un idiot… Donc quoi, j'exige maintenant ne plus avoir à subir dans ma vie quotidienne ces mots que j'estime douloureux d'après mon histoire personnelle ?

J'ai pas réagis mais aujourd'hui je tombe la dessus :
https://www.lemonde.fr/international/article/2019/09/23/40-millions-d-esclaves-dans-le-monde_6012692_3210.html

L'esclavage, c'est de l'antiquité jusqu'à aujourd'hui. La traite des noirs c'est l'apogée, ok. Les serfs ou la shoah, comme toute les occurrences entre temps, ça compte pareil. Et ça ne manque surement pas de conséquences actuelles…
Depuis quand on fait une échelle dans la peine ? (en tout cas dans ce genre de peine… c'est chaud)

Remarque peut être que lui arrivera à faire tomber Bill Gates avec un seul post twitter plein d'outrages !

Suite à la remarque que la victime avait 17 ans et que selon la législation en vigueur cela qualifie automatiquement le fait en "sexual assault"

Donc tous les jeunes de 17 ans qui ont un peu d'action sont des violeurs ? Ou violés ? Ou que les Californiens ?

Je ne vois pas Stallman défendre Epstein, ni Minsky d'ailleurs. Ni dans la citation d'une ligne, ni dans les emails originaux. Alors je sais c'est chiant, il faut aller les lire avant de s'offusquer. On est pas sur twitter. Par contre je te vois lui préter beaucoup de propos effectivement dégueulasses. Ok on est peut être sur twitter.

Moi non plus, je ne défends aucun des trois. Et pourtant j'ai eu 17 ans (pire, j'ai eu 17 ans en Californie). Je me souviens avoir consentis à des trucs. Lire que je suis "automatiquement" un violeur me choque profondément par contre.
Bon, vu que je suis allé en cours d'éducation sexuelle (et que j'ai écouté en plus) je sais que quand des partenaires sont mineurs et n'ont pas la majorité sexuels, c'est à un des parents/gardiens légaux de décider s'ils étaient partenaires ou victimes (et le cas échéant, la configuration du truc sera débattue au procès). Pas à toi. Ni à personne sur l'Internet. Tu vois, même à 17 ans, ce n'est pas "automatiquement" un viol.

Donc tu préemptes et tu hurles plus fort "qu'eux" c'est ça ? Bien joué.

n'est nullement une référence à cette action mais bien au terme générique et étymologique.

Par ce que ce genre de polémiques sont toujours basées sur la raison et l'étymologie.

abort() dans la libc est gênante aussi

Ca me rappel une journée typique dans une multinationale américaine. Un logiciel (en production depuis bien des années) avait les termes master/slave pour décrire la relation entre un logiciel en mode pilote et le même logiciel en mode, piloté ? Je ne connais pas vraiment la terminologie USA 2019. D'ailleurs driving/drived serait même probablement bien mieux que master/slaver maintenant que j'y repense. Nous on à atterri sur primary/secondary, ce qui perdait effectivement le sens mais bon, à vrai dire, qui s'en soucie ?

Un jour 5 product managers sont tombés sur l'équipe de dev et 3 réunions de crises plus tard, les termes offensants avaient été enlevés dans une release faite en urgence. De mémoire de dev personne n'avait jamais vu un problème réglé aussi vite. Ce logiciel avait pleins de tiquets ouverts qui attendaient (la pluspart attendent toujours) l'approbation ou l'avis de ces managers pour de "vrai" problèmes. Bref quand faut brasser du vent il y à toujours du monde…

c'est que tu crois être le seul à identifier ce genre de choses

je l'ai lu il y a bien des années sur une maillist wayland ou les mecs s'entredéchiraient sur la question, comme ici

Et oui, ce n'est pas la fonction principale de GIMP de faire des captures d'écran

je pensais au color picker de gimp, il peut lire n'importe quel pixel de l'écran

J'imagine qu'il y a moyen

Me voila rassuré. Les portals et les permissions c'est bien, mais à un moment, ou tu les désactives ou tu sacrifie des fonctionnalités.
Et la différence entre la bonne application sandboxé et la mauvaise application sandboxé, ça devient une ligne dans le manifeste. Et qui lit le manifeste ?

uniquement quand il s'agira d'une action de l'utilisateur

J'en reviens aux fichiers. Donner une permission explicitement sur un filechooser, c'est super élégant ! Sauf quand tu écris un explorateur de fichier… Alors encore une fois, on donne accès à tous les fichiers (pas franchement le choix !). Donc une appli malveillante, du moment que la possibilité existe, elle fera exactement pareil…

Un autre exemple (et on peut en trouver un paquet des comme ça) :
Avec wayland on peut configurer l'accès aux framebuffers des applis d'à coté il me semble (pour pas qu'une appli malveillante ne puisse aller enregistrer ton navigateur quand tu rentre ton code de CB). Ce qui n'avait jamais été considéré/possible avec X11.

Mais si tu ferme cette possibilité, plus d'applis de screengrab ou de screenshot ! Ou de color picker ! Leur raison d'être c'est précisément d'aller enregistrer les fenêtres d'as coté ! Et quand bien même, Gimp c'est pas ça raison d'être mais il à aussi besoin d'aller voir les fenêtres d'à coté du coup (et Gimp il à des plugins utilisateurs qui tournent, tu vois ou je veux en venir ?).
Alors tu peux imaginer wirepipe pour partager le framebuffer + une API qui dit "je ne suis pas un contenu sensible, je partage mon framebuffer" (et le navigateur web maintenant il doit demander aux sites si la page courante est sensible ? Donc on demande aussi à nos banques de supporter cette API ?).

Toutes ces APIs elles seront automatiquement prises en charge par qui… ou quoi… ton framework graphique ? (si tu en utilise un, et si il est assez high profile pour que des gens se soit cassé le c*l à supporter ces portails). De manière automatique quand c'est possible, ou manuel avec le risque de créer des applis "linux only" ce qui est très, mais alors très loin d'être un progrès.

Alors ça c'est pas banale.
Mon propre gestionnaire de paquet (10746 paquets et 54K paquets utilisateurs, dont 1679 d'installés) à un /var/lib/pacman de 130 Mo.

Aujourd'hui mon /var/lib/flatpak fait 574 Mo, 20 de plus qu'il y à quelque jour (??) (pour 600 apps en lignes et 0 d'installée). Je pense qu'explorer un peu dans Gnome Software a du causer cet embonpoint. Ça aurai été /tmp ou /var/tmp j'aurai peut être fait un RM, mais la j'aurai plus confiance dans les outils. Mais qui ou quoi s'occupe de remettre un peu de bon sens la dedans ?

anéfé :)

Ha oui j'avais déjà vu cette interface pour les applications au détours d'un menu. En effet on peut pas changer grand chose mais c'est un début. Je vois que des AppImages apparaissent dans la liste, et il me propose d'aller consulter leur page sur gnome software :)

Apple y est bien arrivé avec toutes les applications macOS de l'AppStore

Oui Apple impose la sandbox pour le store. Les grands éditeurs par contre, vu qu'ils n'ont pas besoin du store pour être connus, peuvent le contourner pour éviter les 30% d'Apple, mais aussi la sandbox (si tu as une clé de chiffrement du store, tu peux activer la sandbox quand même, mais bon), car la sandbox, elle à cette réputation "moins rapide, moins de fonctionnalité".
Car même Apple te permet de diffuser tes logiciels comme tu veux grâce à leur format d'application.

Tout ou rien je confirme. Après tu peux le faire toi même de sandboxé une app, rien ne t'empêche, mais j'ai jamais testé le fameux firejail.

Je savais pas que tu pouvais bloquer une permission particulière à un logiciel qui le demande dans gnome software. Encore faut il que se soit fait comme il faut. Sur Android, si tu bloques une fonctionnalité quand il te le demande, globalement, l'application arrête de fonctionner. Surtout celles qui sont malveillantes justement. Comme les sites web qui te demandent "le tracking ou retourne sur google".

A l'époque de Cyanogen ils avaient été plus malin. Le système répondait "oui" à la demande de permission de l'application, comme ça l'appli ne pouvait pas bloquer l'app sans raison, mais retournait par exemple un carnet d'adresse vide ou une image noir pour la webcam. "Étonnement" Google n'a jamais retenu la feature…

Rassure toi je ne sous entendais pas un manque de respect. Pour moi un logiciel abandonné, c'est une raison valable d’arrêter de l'utiliser. A court terme il y à de forte chance qu'une dépendance casse tout court, en plus de sa sécurité.

Oui bien sur distrowatch mesure plus l’intérêt qu'autre chose, compter les installs c'est dur. Effectivement sur steam "Arch based" est 2e (woohoo) derrière "Ubuntu based".

D'après distrowatch, la première distribution sur l'année dernière c'est Manjaro, qui est une Arch Linux avec un installeur graphique. Donc pourquoi pas après tout ?

Sans dec, si un développeur meurt, tu penses à la mise à jour des dépendances de son projet ?

Tu fais plus confiance à un AppImage que j'ai fais moi, ou à un flatpak de Microsoft ?

OMG Colobot ! (avec un .AppImage en plus #keurkeurlove)

60 * 35 Mo, on sera toujours en positif vis à vis de flatpak :-/

attentif et réactif concernant les questions de sécurité des dépendances

Mes AppImages sont en générés en intégration continue, et ils utilisent toujours la dernière version des libs disponibles sur la distrib hote. Donc… je suis aussi réactif qu'humainement et technologiquement possible. Si j'ai un doute je peux régénérer un commit en un clique.

Et est-ce que tu peux garantir que tous les autres éditeurs qui proposent des AppImage le seront également

Ha carrément ?! C'est à moi de garantir la sécurité des paquets des autres maintenant ??? Donc, pour te répondre, pas plus que je ne peux garantir la sécurité des flatpak qui ne sont pas fait par moi.

Quelqu'un vérifie la sécurité des flatpaks qui sont uploadés sur flathub ? Quelqu'un vérifie que l'utilisateur est la dernière version du noyau pour garantir que la sandbox (cgroups…) est "invulnérable" ou juste à jour ? Quelqu'un peut garantir qu'il n'y à pas de mineur bitcoin ou de relais tor pédoporno dans ton flatpak sandboxé ??? Debian c'est pas trimbalé 10 ans avec une faille monstrueuse dans la génération de clé ? Tu leur fais toujours confiance ? Qui te garantie quoi que se soit dans un logiciel libre ? Ça fais même partie de la licence, paragraphe 0 : "there is no warranty for the work" ou dans les headers "WITHOUT ANY WARRANTY".

Molotov, pour chaque vulnérabilité dans une dépendance j'ai aucun doute qu'il y en à 100 dans Molotov en lui même. Donc dépendance à jour ou pas, je n'aurai jamais confiance en Molotov. Ce qui m'empêchera pas de le lancer si j'en ai besoin.
Je n'utilise pas beaucoup de logiciels propriétaires, mais j'utilise une blinde de jeux vidéo par exemple. Steam me garantit kedal niveau sécurité.
Pose la même question à n'importe quel Windowsien qui installe n'importe quel logiciel, depuis 30 ans. Tu va tenter de le convaincre de tout désinstaller lui ? Par ce qu'un binaire, c'est maal ? Pourquoi est ce que ça devrai devenir aujourd'hui un point central à virer tout le reste ?

En tant qu'utilisateur, je ne me voile pas la face. En RIEN je ne peux garantir la sécurité de mon système. Quiconque me garantie la sécurité d'un système informatique, j’appelle ça un menteur.
J'ai une Arch Linux toujours à jour, il n'y à pas plus récent, les vulnérabilités publiées dans n'importe quel logiciel sont corrigées dans la journée, souvent bien avant que je lise les articles polémiques qui arrivent régulièrement. Au delà, je n'ai absolument AUCUN doute qu'un hacker compétant parviendra sans AUCUN problème à pirater mon système.
J'utilise un navigateur Internet tout les jours, il a je sais pas combien de sandbox, et pourtant je suis conscient que je peux me faire poutrer à distance au moindre instant. Prétendre l'inverse c'est ignorer l'histoire et la réalité. Prétendre qu'une dépendance à jour ou une sandbox c'est la sécurité…

Triste époque, mais qu'est ce que tu veux que je te dise ?!

T'es pas obligé de me croire, à vrai dire tu n'a aucune raison de le faire, tu peux écouter un expert de renommée mondiale te parler du concept de sécurité et du concept de confiance : https://www.ted.com/talks/bruce_schneier/transcript.

Je te cite le cas concret de mon disque dur, ou j'ai 5 runtimes qui se marchent dessus. Comment peux tu me dire que c'est un gain d'espace ou d'utilisation RAM, puis ce que les librairies sont dans le système, puis dans 5 runtimes ?

Si le runtime était fixe sur un intervalle de 5 ans, à la limite, tu pourrai argumenter que 50 applications économiseraient forcément des dépendances, mais avec le runtime gnome 3.28, 30, 32, et dans quelques mois 34… Et dans quelques années…

Tu consommeras encore plus de bande passante qu'avec Flatpak.

Sachant que le runtime gnome fait 1 Go et qu'il change tout les 6 mois… Pas sur…

Les autres OS voudrait le faire et le font en partie hein.

Alors j'aimerai en profiter, si tu as des infos concrètes la dessus.

Tu dois inclure toute les dépendances dans un AppImage, point barre. Si il en manque une, c'est un bug. Personnellement j'utilise un outils pour toute les trouver de manière automatique.
Tu n'a donc jamais eu une dépendance manquante dans un paquet fedora que tu sois obligé d'en voir la une faiblesse inhérente au AppImage et inexistante ailleurs ?